Posted inCyberBezpieczeństwo

Jak przygotować firmę do audytu bezpieczeństwa

Brak komentarzy.
jak przygotować sie do audytu bezpieczenstwa cybercheck

I dlaczego większość firm robi to dopiero wtedy, gdy jest już za późno

Słowo „audyt bezpieczeństwa” w wielu firmach wywołuje lekkie napięcie. Właściciel słyszy koszt, dział IT słyszy stres, a pracownicy zastanawiają się, czy ktoś zaraz zacznie sprawdzać ich hasła zapisane na karteczkach.

Przez lata widziałem jedną powtarzalną reakcję. Dopóki nic się nie wydarzyło, temat bezpieczeństwa schodził na dalszy plan. Dopiero gdy pojawiał się audyt zewnętrzny, wymagania klienta albo nowa regulacja, nagle zaczynało się nerwowe sprawdzanie, co właściwie mamy, a czego nie mamy.

Problem polega na tym, że audyt nie jest momentem, w którym zaczyna się naprawiać bezpieczeństwo. To moment, w którym wychodzi na jaw, co było zaniedbywane przez lata.

Dlatego jeśli ktoś pyta mnie, jak przygotować firmę do audytu bezpieczeństwa, odpowiadam wprost: nie zaczynaj od dokumentów. Zacznij od sprawdzenia, co faktycznie działa w Twojej infrastrukturze.

Co audyt bezpieczeństwa naprawdę sprawdza

Wiele osób myśli, że audyt to głównie dokumentacja i polityki. W praktyce pierwsze, co interesuje audytora albo specjalistę od bezpieczeństwa, to nie papier, tylko systemy.

Podczas przeglądu bezpieczeństwa sprawdza się kilka kluczowych obszarów, które w większości firm wyglądają podobnie.

Najpierw patrzy się na uwierzytelnianie i dostęp. Czyli kto ma dostęp do czego, ile jest kont administratorów, czy używane jest MFA, czy stare konta pracowników nadal istnieją w systemie. To bardzo często pierwszy punkt, w którym wychodzą rzeczy, o których nikt już nie pamięta. Konto administratora sprzed pięciu lat, które nadal działa. Konto pracownika, który odszedł rok temu, ale wciąż ma dostęp do VPN.

W kolejnym kroku analizuje się użytkowników i urządzenia końcowe, czyli komputery, laptopy i serwery. Sprawdza się, czy mają aktualne zabezpieczenia, czy działa oprogramowanie ochronne i czy ktoś w ogóle kontroluje, co jest na tych urządzeniach zainstalowane.

Potem przychodzi czas na systemy chmurowe, takie jak Microsoft 365, backupy i aktualizacje. Wiele firm zakłada, że skoro dane są w chmurze, to są bezpieczne. A później okazuje się, że backup w ogóle nie obejmuje poczty albo że ktoś wyłączył aktualizacje, bo przeszkadzały w pracy.

Na końcu analizuje się procedury i monitoring, czyli to, czy firma wie, co zrobić, gdy coś się wydarzy. Czy ktoś obserwuje logi. Czy ktoś reaguje na incydenty. Czy istnieje plan działania na wypadek awarii albo ataku.

I właśnie te obszary najczęściej decydują o tym, czy firma przejdzie audyt bez większych problemów, czy zacznie nerwowo nadrabiać zaległości.

Dlaczego większość firm nie jest gotowa na audyt

Najczęściej dlatego, że systemy rozwijają się szybciej niż procesy.

Firma kupuje nowe komputery. Dochodzą nowe usługi. Pojawia się chmura, nowe systemy, nowe aplikacje. Zespół IT robi, co może, żeby wszystko działało. A bezpieczeństwo zaczyna być dodatkiem, nie fundamentem.

Widziałem firmę, w której było ponad trzydzieści kont administratorów w Active Directory. Po prostu każdy projekt zostawiał po sobie jakieś konto techniczne, które „może się jeszcze przyda”.

Inna firma miała backup, który działał codziennie przez dwa lata. Problem polegał na tym, że nikt nigdy nie próbował przywrócić danych. Gdy pojawiła się awaria serwera, okazało się, że backup zapisuje się na tym samym dysku, który właśnie uległ uszkodzeniu.

Takie rzeczy wychodzą właśnie podczas audytu.

Jak przygotować firmę do audytu krok po kroku

Nie da się przygotować firmy do audytu w jeden dzień. Ale da się zrobić to metodycznie bez gaszenia pożarów.

Zawsze zaczynamy od rozmowy z zespołem IT albo właścicielem firmy. Nie od dokumentów, tylko od pytania: co według Was jest najważniejsze w tej infrastrukturze.

Bo jeśli nie wiesz, które systemy są krytyczne, nie wiesz też, co powinno być chronione w pierwszej kolejności.

Zacznij od kont i dostępów

To pierwszy obszar, który powinien zostać uporządkowany.

Przegląd kont użytkowników brzmi banalnie, ale w praktyce potrafi zająć sporo czasu. W większości firm znajdują się:

  • konta nieużywane od miesięcy
  • konta techniczne bez właściciela
  • konta administratorów bez uzasadnienia

Jeśli audyt ma się odbyć za miesiąc, to właśnie tu trzeba zacząć.

MFA powinno być włączone wszędzie tam, gdzie to możliwe. Nie tylko w poczcie, ale też w VPN, systemach księgowych, panelach administracyjnych.

To jeden z najprostszych sposobów ograniczenia ryzyka przejęcia kont.

Sprawdź backupy zanim ktoś zapyta o nie podczas audytu

Backup to temat, który wraca przy każdym audycie. I za każdym razem pojawia się to samo pytanie: czy był test odtwarzania.

Bo backup, którego nie da się odtworzyć, nie jest backupem. Jest złudzeniem bezpieczeństwa.

Dobrze zaprojektowane kopie zapasowe powinny obejmować:

  • serwery
  • stacje robocze
  • systemy chmurowe
  • bazy danych
  • pocztę

I co ważne, powinny być przechowywane w różnych lokalizacjach, żeby jedna awaria nie zniszczyła wszystkiego naraz.

Zrób przegląd aktualizacji i oprogramowania

System bez aktualizacji to system z otwartymi drzwiami.

To nie jest teoria. W wielu przypadkach ataki zaczynają się od podatności, które były znane od miesięcy, ale nikt nie miał czasu ich załatać.

Podczas przygotowania do audytu trzeba sprawdzić:

Brzmi prosto, ale gdy w firmie jest kilkadziesiąt komputerów i kilka serwerów, nagle okazuje się, że lista braków rośnie szybciej niż się spodziewaliśmy.

Zbierz dokumentację, zanim ktoś zacznie o nią pytać

Audyt to nie tylko systemy. To też procesy.

Powinna istnieć dokumentacja opisująca:

  • kto zarządza systemami
  • jakie są procedury tworzenia kont
  • jak wygląda proces nadawania uprawnień
  • jak wygląda reakcja na incydent

Nie musi to być gruba księga. W wielu firmach wystarczy kilka dobrze napisanych dokumentów.

Najgorsze, co można zrobić, to tworzyć dokumentację dzień przed audytem.

Sprawdź monitoring i reakcję na incydenty

To jeden z najbardziej niedocenianych obszarów bo w wielu firmach systemy działają, ale nikt ich nie obserwuje. Nie ma alertów. Nie ma powiadomień. Nie ma osoby, która reaguje na zdarzenia.

Podczas przeglądu bezpieczeństwa analizuje się również to, czy firma jest gotowa na awarie i incydenty, a nie tylko czy systemy działają poprawnie.

Najczęstsze błędy przed audytem, które widzę w firmach

Niektóre sytuacje powtarzają się tak często, że można je traktować jako standard.

Pierwszy błąd to wdrożenie MFA tylko tam, gdzie było to najprostsze. Na przykład w poczcie, ale już nie w VPN albo panelach administracyjnych.

Drugi błąd to backup obejmujący tylko część danych. Serwer jest zabezpieczony, ale już dane w Microsoft 365 nie są kopiowane nigdzie poza chmurą.

Trzeci błąd to brak świadomości pracowników. Można mieć świetne systemy, ale wystarczy jedno kliknięcie w złośliwy link, żeby cała infrastruktura została zaszyfrowana.

Nie bez powodu mówi się, że większość incydentów zaczyna się od człowieka, a nie od systemu.

Dlaczego warto zrobić przegląd bezpieczeństwa przed właściwym audytem

Jednym z najrozsądniejszych ruchów, jakie może zrobić firma, jest wykonanie wstępnego przeglądu bezpieczeństwa zanim pojawi się audyt formalny.

Taki przegląd trwa zwykle krótko, często jedno spotkanie wystarcza, żeby sprawdzić kluczowe obszary infrastruktury i przygotować listę rzeczy do poprawy.

Na jego podstawie powstaje raport z konkretnymi zaleceniami, który pokazuje, gdzie są braki i co trzeba zrobić w pierwszej kolejności.

To działa trochę jak przegląd samochodu przed długą trasą. Lepiej znaleźć problem w warsztacie niż na autostradzie.

Co firma zyskuje po dobrze przeprowadzonym audycie

Jeśli audyt jest przeprowadzony sensownie, jego wynik nie powinien być listą problemów, tylko planem działania.

Najlepsze raporty, jakie widziałem, zawierały:

  • konkretne rekomendacje
  • priorytety działań
  • wskazanie ryzyk
  • plan wdrożeń

I co ważne, po wdrożeniu zmian warto wrócić do tych zaleceń i sprawdzić, co udało się poprawić. Często robi się to po kilku tygodniach, żeby zweryfikować postęp prac i zamknąć temat.

Audyt nie powinien być jednorazowym wydarzeniem. Powinien być początkiem procesu.

Na koniec

Największym błędem, jaki widzę w firmach, nie jest brak technologii.

Największym błędem jest brak wiedzy o tym, co się dzieje w systemach.

Firma może mieć świetny sprzęt, licencje i narzędzia, a mimo to nie wiedzieć, kto ma dostęp do danych, gdzie są backupy i czy ktoś monitoruje incydenty.

Audyt nie tworzy problemów.

On je ujawnia.

Chcesz sprawdzić, w jakim stanie jest bezpieczeństwo IT w Twojej firmie?

Jeśli chcesz sprawdzić, jak wygląda stan Twojego IT, zacznij od przeglądu kluczowych obszarów IT.

Umów rozmowę i zobacz, jak wygląda taki przegląd w praktyce.

Odezwij się do nas!

Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *